Как использовать Suricata IDS для мониторинга всей сети?

2357
KronoS

У меня есть следующие 3 ПК, подключенных к маршрутизатору через Ethernet:

ПК1 - 192.168.1.101 (Linux Ubuntu)

ПК2 - 192.168.1.100 (Windows)

ПК3 - 192.168.1.1 (Windows)

Все ПК могут пинговать друг друга.

На ПК1 установлена ​​Suricata в режиме IDS. В него входит простое правило проверки связи:

alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)

Я запускаю Suricata, введя следующую команду на ПК1:

suricata -c /etc/suricata/suricata.yaml -i eth3

eth3 является основным интерфейсом Ethernet в ПК1:

Как использовать Suricata IDS для мониторинга всей сети?

Правило проверки связи срабатывает, когда я проверяю связь с ПК1 с ПК2 и ПК3, и соответствующее сообщение записывается в файл журнала. Это правило также срабатывает, когда я пингую ПК2 и ПК3 с ПК1.

Однако это правило не срабатывает, когда я пингую ПК2 с ПК3 и наоборот. Suricata слушает только на интерфейсе eth3 в PC1. Трафик не проходит через ПК1, когда я пингую ПК2 с ПК3, даже если все 3 ПК находятся в одной сети.

Можно ли настроить Suricata для мониторинга всей сети, а не только компьютера, на котором она установлена?

0
Ваш роутер действует как коммутатор и не позволяет ПК1 видеть трафик? Это не проблема Suricata, а очень простая проблема сетевого дизайна. schroeder 9 лет назад 1
Я понял, что мне нужен хороший коммутатор, который поддерживает зеркалирование портов, чтобы он мог отправлять весь трафик на ПК1 для проверки. У меня есть только дешевый маршрутизатор, который не поддерживает эту функцию. 9 лет назад 0
возможный дубликат [Как использовать Suricata IDS для мониторинга всей сети?] (http://superuser.com/questions/785635/how-to-use-the-suricata-ids-to-monitor-the-entire- сети) KronoS 9 лет назад 0

0 ответов на вопрос

Похожие вопросы